Varberg Energi gav säkerhetsföretaget Basalt i uppdrag att simulera hur Ryssland gjorde när de för några år sedan attackerade Ukraina genom att sänka stora delar av det ukrainska elsystemet.
– Det finns ett ökat hot mot det svenska energisystemet, inte minst genom cyberattacker. Vi ville testa hur motståndskraftigt vårt elsystem är, säger Mats Balkö, affärsområdeschef för utveckling och hållbarhet.
– Det finns idag två elsystem, det ena är det som vi tänker till vardags – alltså elledning i marken och i luften. Det andra är det nya ”virtuella elsystemet”, där man kan koppla upp allt från laddboxar till vindkraftsparker och industrier. Det vi attackerade i första hand var det virtuella elsystemet.
Lärdomar från Ukraina
Lärdomar från Ukrainaattacken visar att den skett i tre steg, vilket också bedöms vara ett vanligt tillvägagångssätt. Den första åtgärden är att någon på ett energibolag får ett mejl, som bedöms vara ofarligt.
När personen öppnar mejlet och klickar på en länk har den som vill attackera systemet kommit in i energibolagets it-system. Oftast gör den som skickat mejlet inget på en månad och då vaggas energibolaget in i en falsk trygghet att det inte var något farligt.
Men därefter jobbar sig antagonisten vidare in i bolaget via mjukvara/it-system. Målet är att ta över it-systemen men också den mjukvara som styr hårdvaran, och som finns både i det fysiska och det virtuella elnätet.
I det virtuella elnätet kan intrånget ske via en router hemma hos en privatperson eller via de enheter som idag skickas ut från olika företag för att koppla upp och styra till exempel växelriktare med solpaneler och batterier.
"Målet är att styra elnätet"
I vindkraftsparker, batteriparker, solparker med mera använder man ofta ett EMS (Energy Management System) och det är det som antagonisten vill nå.
– Målet är att kunna styra elnätet och därigenom kunna stänga av elsystemet. Det kan också handla om att kunna stänga av delar av systemet eller skapa löpande händelser som exempelvis återkommande elavbrott i transformatorstationer. Det i sin tur skapar oro, vilket ofta är en del av målet, säger Mats Balkö.
Om man levererar uppkoppling mot industrier och större batterilager så bör det ställas krav på någon form av säkerhetsgranskning.
Basalt har fått försöka hacka sig in i olika delar av Varberg Energis elsystem. Det handlar om allt från batterianläggningar på 11 MW till deras virtuella elnät som bland annat omfattar villaägare med solceller, hembatterier, elbilsladdare.
– Om en angripare tar sig in i en villa eller hundra villor leder det inte till problem för vårt elnät, men det skulle skapa en osäkerhet i samhället, vilket på ett psykologiskt plan är allvarligt, säger Mats Balkö.
– Däremot om det skulle ske angrepp mot industriella aktörer kan det bli en påtaglig påverkan på elnätet. Därför ser vi dessa tester som extra viktiga för att kunna skydda och vara med och skapa säkra nät för vår svenska industri inom produktion, men också för tung fordonsladdning eller vindkraftsparker och så vidare.
Testerna visade att Varberg Energis virtuella elnät höll hög säkerhetsnivå. Mats Balkö vill av förklarliga skäl inte säga var det skulle kunna finnas eventuella brister. Däremot vill han flagga för en risk som han ser och som gäller för många i energibranschen. Det handlar om nya aktörer som kommer in och erbjuder olika lösningar för att koppla upp alltifrån hembatterier till stora batterilager.
– De som säljer och kopplar upp energisystem i hemmet eller en vindkraftspark arbetar på en ganska oreglerad marknad anser jag. De har inte samma säkerhetskrav på det viset som vi på ett energibolag har, säger Mats Balkö.
Energibolag bör ställa högre säkerhetskrav
Varberg Energi har därför nära dialoger med några få leverantörer där de säkrar hela kedjan från tillverkningen av komponenterna som används och säkerhetsbedömning av de personer som arbetar hos leverantörerna till hur de kopplar upp sina produkter mot energibolagets virtuella elnät.
– Men jag tror generellt att både energibolag och Svenska kraftnät bör ställa krav på att de som agerar på den här marknaden kan leva upp till säkerhetskraven, till exempel NIS-2. Om man levererar uppkoppling mot industrier och större batterilager så bör det ställas krav på någon form av säkerhetsgranskning av komponenter och personal, säger Mats Balkö.
Ann-Sofie Borglund
